歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」

  歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎,並作為後續發展相關方案與措施之基準點。

  由於廣泛應用於各個領域,智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此,了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果,以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景,並提出以下可以廣泛運用之智慧聯網安全措施與實作:

  (一) 資訊系統安全治理與風險管理
  包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。

  (二) 生態系管理
   包含生態系繪製以及各生態系的關聯。

  (三) IT安全建築
   包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。

  (四) IT安全管理
  帳戶管理與資訊系統管理之相關安全措施。

  (五) 身分與存取管理
  有關身分確認、授權以及存取權限之安全措施。

  (六) IT安全維護
  有關IT安全維護程序以及遠端存取之安全措施。

  (七) 偵測
  包含探測、紀錄日誌以及其間之關聯與分析之安全措施。

  (八) 電腦安全事件管理
  資訊系統安全事件分析與回應、報告之資安措施。

本文為「經濟部產業技術司科技專案成果」

你可能會想參加
※ 歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=7987 (最後瀏覽日:2025/07/07)
引註此篇文章
你可能還會想看
日本也有EUA了!新修《藥機法》通過藥物緊急許可制度

日本也有EUA了!新修《藥機法》通過藥物緊急許可制度 資訊工業策進會科技法律研究所 2022年06月13日   去(2021)年12年底日本厚生勞動省發布「緊急時藥物許可制度總結[1]」(緊急時の薬事承認の在り方等に関するとりまとめ)文件,就日本藥物緊急許可制度(緊急承認)進行提案,並建議修法。接著,以該制度為中心之《藥物及醫療器材品質、有效性及安全性確保法》(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)(下稱藥機法)修正案,在今(2022)年3月經眾議院通過,4月經參議院通過成立,5月20日公布並即日開始發生效力[2]。主要條文規範在新法第14條之2之2及第23條之2之6之2。 壹、立法背景說明   修法之前,日本藥物上市審查有四種管道:一般許可(通常承認)、先驅審查指定制度(先駆け審査指定制度)、附條件許可(条件付き承認)、特例許可(特例承認)。「一般許可」係無特殊情形下之通常上市管道;「先驅審查指定制度」是針對治療嚴重疾病的劃時代創新藥物所創設之優先審查制度[3];「附條件許可」則是針對有效治療方法少、患者數量少的嚴重疾病的藥物審查制度[4];若遇緊急事件需使用藥物則是走「特例許可」管道使藥品能提早上市[5]。   根據去年日本厚生勞動省之調查[6],在傳染病大流行等類似緊急情況之下,日本當時對於藥品核准的對應方式存有兩大問題。   首先是對應的速度不夠快。在緊急狀況下,對於疫苗及藥物等的優先核准制度,即使是日本當時最快的「特例許可」管道,相較於歐美也較為耗時。以對抗新型冠狀病毒的莫德納疫苗為例,該疫苗在美國取得緊急使用授權(Emergency Use Authorization,下稱EUA)之後,約過了5個月才在日本獲得承認;而新型冠狀病毒的治療藥物Sotrovimab於日本國內的核准也晚於美國4個月[7]。   其二是特別許可的適用對象較窄,「特例許可」管道是為已在國外流通之藥品而設計,因此若是日本藥廠自行研發的疫苗、藥物或是療法,均無法依此管道上市。如日本藥廠塩野義所開發的新型冠狀病毒口服藥,即需要透過附條件許可之制度,或新的緊急許可制度加快上市速度。   鑒於前述原因,日本厚生勞動省參考美國EUA,提出了藥物的「緊急許可制度」。此二制度最大共通特點在於其均非藥品的正式上市制度,通過審查之後僅能在一定期間內上市流通,到期之後原則上應下架[8]。 貳、重點說明   緊急許可制度有四大重點[9],說明如下:   一、發動要件:為防止重大影響國民生命和健康之疾病蔓延,及防止其他健康損害狀況的擴大,有緊急使用之必要,且無使用該藥物以外替代手段時,得申請緊急許可。此處所稱之藥物包括了疫苗、治療藥物、普通藥品、醫療器械等產品。且緊急情況並不限於大規模流行性疾病,核事故、放射性污染、生化攻擊等情況亦適用緊急許可制度。   二、運用標準:在臨床試驗確認安全性的前提下,可以不需要完成有效性的完整試驗,得僅就現有的數據及資訊進行有效性之推定。舉例而言,若在海外進行的大規模驗證臨床研究中獲得了顯著的結果,則以日本受試者為主的臨床研究結果為非必要。   三、核准條件及期限:由於在有效性的階段給予核准,為了確保正確使用核准的藥物,應附上條件以及二年內之期限(有再延長一年之可能)。獲得許可後一定期限內若無法確認有效性,且判斷該醫藥品或器材不適合維持許可狀態時,將撤銷許可。   四、加速特別措施:對GMP檢驗、國家認證、容器包裝等採取特殊措施以加快核准速度。如在申請緊急許可當下,GMP檢驗有實施上困難,可以先暫緩,待核准後再補上檢驗程序。 參、與現存制度差異評析   特例許可是在緊急許可推出之前,在緊急情況下能在短期間內讓藥品上市之方式。特例許可是藥品正式上市流程,而緊急許可是在符合條件後暫時性准許上市,故兩者在範圍、運用基準以及期限等規定上存有明顯差異。   首先在範圍方面,特例許可係為了已在國外流通的醫療用品引進國內而設置,因此日本國內企業自行研發的新疫苗或是新治療藥等,無法透過特例許可上市[10],原則上需要透過一般藥物上市管道,因此新制度對於日本藥廠來說,形同多開闢了一條產品上市的道路。其次,在運用基準方面,特例許可應完整確認安全性及有效性,無法如新制般能僅由現存數據及資料推定該藥物之有效性[11],因此新制可以縮短臨床試驗所花費的時間。最後,由於特例許可為正式之上市許可,僅在簡化一般藥物之審查流程至2-3個月,故其無有效期間之規定[12],而依新制度上市之藥品在有效期間內仍須完成剩下的臨床試驗,否則期限屆至時原則上應下市。 肆、未來展望   由於緊急許可制度剛修法通過,日本國內目前尚未有以此管道核准上市之藥物或疫苗,因此核准程序所花費之時程,能否成功縮短至如美國EUA的三週內尚未可知。目前最有可能以此管道核准上市之藥物為日本藥廠塩野義的新型冠狀病毒口服藥,審查結果預計於7月發表[13],其發展究竟如何,值得我們拭目以待。 [1] 〈緊急時の薬事承認の在り方等に関するとりまとめ〉,厚生勞動省,https://www.mhlw.go.jp/content/11121000/000873996.pdf(最後瀏覽日:2022/06/12)。 [2] 日本參議院網站,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/meisai/m208080208042.htm(最後瀏覽日:2022/06/12)。 [3] 〈先駆的医薬品等指定制度(先駆け審査指定制度)〉,獨立行政法人醫藥品醫療機器總合機構,https://www.pmda.go.jp/review-services/drug-reviews/0002.html (最後瀏覽日:2022/06/27)。 [4] 〈医薬品条件付早期承認制度への対応〉,獨立行政法人醫藥品醫療機器總合機構https://www.pmda.go.jp/review-services/drug-reviews/0045.html (最後瀏覽日:2022/06/27)。 [5] 同前註1。 [6] 同前註1。 [7] 〈緊急時の薬事承認の在り方について〉,厚生勞動省,https://www.mhlw.go.jp/content/11121000/000856077.pdf(最後瀏覽日:2022/06/12)。 [8] 同前註。 [9] 〈令和4年の医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(薬機法)等の一部改正について〉,日本厚生勞動省網站,https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00006.html(最後瀏覽日:2022/06/12)。 [10] 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)第14條之3第2項。 [11] 同前註4。 [12] 周晨蕙、施雅薰,《科技法律透析》,〈COVID-19疫情下我國藥事法專案核准制度議題-以國際藥物緊急核准上市機制為借鏡〉,第33卷第10期,頁58(2021)。 [13] NHK,〈コロナ飲み薬 塩野義製薬「ゾコーバ」有効性や副作用 承認の可否は〉,2022/06/23,https://www.nhk.or.jp/shutoken/newsup/20220623a.html (最後瀏覽日:2022/06/27)。

歐洲專利局與俄羅斯聯邦智慧財產局已於2月1日起試行啟動專利審查高速公路(PPH)計畫

  歐洲專利局(European Patent Office,簡稱EPO)與俄羅斯聯邦知識產權局(Russian Federal Service for Intellectual Property,簡稱ROSPATENT)啟動專利審查高速公路(Patent Prosecution Highway,簡稱PPH)計畫,自今(2017)年2月1日至2020年1月31日起試行三年。專利申請人向EPO或ROSPATENT提出全部或部分相同的技術內容,至少有一個請求項經過其第一申請局(Office of First Filing,簡稱OFF)核准,即可以相關檢索或審查文件提供予第二申請局(Office of Second Filing,簡稱OSF)參考,同時請求此對應的專利申請案加速審查。   事實上,EPO這幾年已展開一系列的專利申請加快審查程序,除了在世界五大專利局(簡稱IP5,包含歐洲以及韓國、中國大陸、美國、日本),亦基於專利合作條約(Patent Cooperation Treaty,簡稱PCT)國際專利申請的架構,已與澳洲、加拿大、哥倫比亞、以色列、墨西哥、新加坡以及俄羅斯等國家進行PPH計畫,另後續也同意與馬來西亞和菲律賓的PPH合作協議(目前尚未啟動),由此可見EPO相當積極促成多國PPH程序以減少雙方專利局重覆審查作業並增進資源的有效利用。   對於專利申請人而言,因應企業全球化經營的思維及國際專利申請佈局策略,考量屬地主義侷限於當地申請才能取得權利保護的情況下,透過各國專利局雙方簽署PPH協議得以較快獲得審查結果。然而,就算相同的技術內容,並不一定保證OSF依循OFF核准其可專利性,建議尚須注意各國專利審查制度的差異性。 【本文同步刊登於TIPS網站(http://www.tips.org.tw)】

New Balance在中國大陸一審獲判商標侵權賠償

  美國紐百倫公司(以下稱New Balance)去年控告中國大陸當地三家製鞋商侵害其中N字logo商標。其中一位被告為已在美國科羅拉多州成立公司的新百倫體育用品有限公司(USA New Bai Lun Sporting Goods Group Inc)。近日,中國大陸蘇州中級人民法院判決在一審判決中判處這三名被告侵害New Balance商標權,應支付New Balance人民幣一千萬元(即美金一百五十萬元)之損害賠償。   一名美國律師指出,此賠償數額以國際標準而言不算高,但這是中國大陸外企至今在商標侵權爭議案件中獲得的最大一筆賠償金,對在中國大陸的外企而言是一大鼓舞。New Balance品牌保護經理Angela Shi表示,此案的勝訴讓New Balance更有信心繼續在中國大陸開展品牌保護的工作。   根據中國大陸當地律師指出,過去中國大陸各地方人民法院由於必須考量當地就業及社會穩定等因素,較不傾向做出有利於外企的判決。在本判決之前,美國總統川普曾簽屬一份備忘錄,要求調查中國大陸竊取美國企業智慧財產權之問題,而中國大陸國家主席習近平近期亦曾公開表示要嚴懲侵害智慧財產權者。本次New Balance的勝訴,除了對外企而言有標竿性的作用外,也展現了中國大陸政府解決仿冒問題的決心。

英國資訊委員辦公室提出人工智慧(AI)稽核框架

  人工智慧(Artificial Intelligence, AI)的應用,已逐漸滲透到日常生活各領域中。為提升AI運用之效益,減少AI對個人與社會帶來之負面衝擊,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2019年3月提出「AI稽核框架」(Auditing Framework for Artificial Intelligence),作為確保AI應用合乎規範要求的方法論,並藉機引導公務機關和企業組織,評估與管理AI應用對資料保護之風險,進而建構一個可信賴的AI應用環境。   AI稽核框架主要由二大面向所構成—「治理與可歸責性」(governance and accountability)以及「AI特定風險領域」(AI-specific risk areas)。「治理與可歸責性」面向,係就公務機關和企業組織,應採取措施以遵循資料保護規範要求的角度切入,提出八項稽核重點,包括:風險偏好(risk appetite)、設計階段納入資料保護及透過預設保護資料(data protection by design and by default)、領導管理與監督(leadership management and oversight)、政策與程序(policies and procedures)、管理與通報架構(management and reporting structures)、文書作業與稽核紀錄(documentation and audit trails)、遵循與確保能力(compliance and assurance capabilities)、教育訓練與意識(training and awareness)。   「AI特定風險領域」面向,則是ICO特別針對AI,盤點下列八項潛在的資料保護風險,作為風險管理之關注重點: 一、 資料側寫之公平性與透明性(fairness and transparency in profiling); 二、 準確性(accuracy):包含AI開發過程中資料使用之準確性,以及應用AI所衍生資料之準確性; 三、 完全自動化決策模型(fully automated decision making models):涉及人類介入AI決策之程度,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)原則上禁止無人為介入的單純自動化決策; 四、 安全性與網路(security and cyber):包括AI測試、委外處理資料、資料重新識別等風險; 五、 權衡(trade-offs):不同規範原則之間的取捨,如隱私保護與資料準確性; 六、 資料最少化與目的限制(data minimization and purpose limitation); 七、 資料當事人之權利行使(exercise of rights); 八、 對廣泛公共利益和權利之衝擊(impact on broader public interests and rights)。   ICO將持續就前述AI特定風險領域,進行更深入的分析,並開放公眾討論,未來亦將提供相關技術和組織上之控制措施,供公務機關及企業組織進行稽核實務時之參考。

TOP